WebGLのセキュリティホールで異常事態になってる件
先月、 WebGLに関する深刻なセキュリティホールがアナウンスされていたのですが…。
3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響 - ITmedia ニュース
この機能、Firefox 4のβ7以降や、Google Chrome 9以降に実装されています。
実装方法が問題になっていますが、DoSなどの攻撃についてはOpenGL規格の拡張機能「GL_ARB_robustness」で対応済で、実装すれば回避できるとされています。(WebGLのベンダーの話)
一方マイクロソフトからは厳しいレポートが出ています。
WebGL仕様の脆弱性問題、Microsoftは「有害」と厳しい判断 | マイコミジャーナル
・すべてのセキュリティが、OEMドライバを含むシステムの下層レベルに依存し一部のビデオカードやプラットフォームでは、ハードウエアの機能がWeb側につつぬけになってしまう。 ・WebGLの脆弱性にはWebGL APIではなく、OEMやIHV(independent hardware vendor)によって持ち込まれたシステムコンポーネントに問題が存在するケースが見られ、既存の脆弱性を修正する方法になり得ていない。 ・ARB_robustnessやARB_robustness_2による対策が可能であるがWebサイトにシステムがフリーズまたは再起動させられる可能性を残しておくリスクが高い。 |
WebGLを無効にする方法がこちらに紹介されています。
セキュリティホール memo - 2011.05
・Firefox 4: about:config の webgl.disabled を true にする。
・Chrome: 起動オプションに --disable-webgl をつける。
Firefox5で対応するってことは、4では修正しないんですかね。Chromeは案内も無いですが。
Comments